С 30 мая 2025 года вступают в силу поправки к Федеральному закону № 152-ФЗ «О персональных данных». Изменения направлены на усиление защиты прав граждан и ужесточение требований к операторам. Как это отразится на жизни россиян и работе ответственных лиц и компаний?
О вступающих в силу поправках «Южному Федеральному» рассказала адвокат, арбитражный управляющий, медиатор Юлия Юрьевна Иванова. Она обрисовала ключевые изменения.
- Обязательное уведомление Роскомнадзора и субъектов данных об утечках (ст. 18.1). Суть изменения: срок уведомления регулятора сокращен до 24 часов с момента обнаружения инцидента.
- Расширение понятия «биометрические данные». Включены данные голоса, изображения сетчатки глаза и ДНК. Для их обработки теперь требуется письменное согласие субъекта (ст. 11).
- Требования к локализации данных. Иностранные компании, работающие в РФ, обязаны хранить и обрабатывать персональные данные россиян на серверах внутри страны (ст. 18.5).
- Шифрование данных. Все операции с персональными данными в электронной форме должны проводиться с использованием криптографической защиты (Постановление Правительства № 1119, ред. 2025).
Кого затронут изменения?
По словам юриста, все компании, обрабатывающие персональные данные, будут обязаны соблюдать новые требования. То есть, от малого бизнеса до крупных корпораций, подчеркнула Иванова. Это и иностранные IT-платформы и сервисы, работающие на территории РФ, и банки, медицинские учреждения, онлайн-магазины. HR-агентства также подпадают под действие ФЗ как основные участники обработки данных.
Подготовка бизнеса к новым требованиям
«Проведите аудит текущих процессов. Убедитесь, что сбор, хранение и передача данных соответствуют новым нормам. Обновите политику обработки данных. Включите разделы о биометрических данных и процедурах уведомления об утечках», - советует Юлия Иванова.
Эксперт рекомендует также внедрить шифрование и защиту данных. Это можно осуществить, используя сертифицированные ФСБ РФ средства криптографии.
Важно настроить систему мониторинга утечек и обеспечить возможность оперативного реагирования в течение 24 часов. Для этого стоит заключить соглашения с ИТ-провайдерами, подчеркнула Юлия Иванова.
«Убедитесь, что хостинг и облачные сервисы соответствуют требованиям локализации», - сказала она.
За нарушения введены новые штрафы
Для юрлиц размер штрафа следующий. За неуведомление об утечке — до 10 млн рублей (ст. 13.11 КоАП РФ). За обработку данных без согласия — до 30 млн рублей (ст. 13.11 КоАП РФ). За Нарушение локализации — до 18 млн рублей (ст. 13.11 КоАП РФ). Для должностных лиц штрафы увеличены до 500 тыс. рублей с возможностью дисквалификации, уточнила юрист.
Рекомендации эксперта по работе в новых условиях
Стоит назначить ответственного за обработку данных. Это может быть штатный DPO (Data Protection Officer) или внешний консультант. Необходимо провести обучение сотрудников, особенно отделов IT, HR и маркетинга.
«Используйте автоматизированные системы. Для управления согласиями, шифрования и аудита. Сотрудничайте с Роскомнадзором. Подавайте уведомления через личный кабинет на сайте регулятора», - советует специалист.
Изменения направлены на минимизацию утечек и повышение прозрачности обработки данных, добавила Иванова. По ее словам, бизнесу критически важно адаптироваться до 30 мая 2025 года, чтобы избежать многомиллионных штрафов и потери репутации. Рекомендуем начать с аудита и обновления внутренних регламентов, заключила адвокат Юлия Иванова.
Читать на "Южный федеральный"